L’espionnage des entreprises reste une menace persistante et généralisée pour les informations confidentielles critiques – et l’avenir financier – de nombreuses entreprises mondiales. Cette menace émane non seulement d’acteurs étatiques, tels que la Chine et la Russie, mais également de sociétés concurrentes.
Quand un journaliste a demandé pourquoi il avait cambriolé des banques, le voleur notoire Willie Sutton a répliqué apocryphe «parce que c’est là que se trouve l’argent». Sutton a nié plus tard avoir fait cette remarque. Mais peu importe qui (ou si) quelqu’un l’a dite, la citation souligne néanmoins une vérité fondamentale du crime: les criminels choisiront une cible qui possède le ou les objets qu’ils souhaitent voler.
Ce même principe vaut également pour l’espionnage des entreprises. Les secrets de votre entreprise sont une cible, où qu’ils se trouvent, y compris (et peut-être surtout) dans des endroits supposés moins exposés. Pour cette raison, il est important de comprendre que l’espionnage est une menace véritablement mondiale et multiforme, nécessitant des programmes de sécurité de nature et de portée également robustes pour protéger les informations sensibles des acteurs malveillants.
Le piège de la vision tunnel
La plupart des services de sécurité, sinon la plupart, évaluent la menace d’espionnage d’entreprise en fonction du pays dans lequel se trouve une installation qui contient des informations critiques ou d’un employé disposant d’un appareil contenant ces informations. De ce fait, les entreprises américaines ou européennes traitent souvent la menace d’espionnage dirigée contre une installation située dans un pays “plus sûr”, tel que le Japon, de manière différente d’une installation similaire située dans un pays considéré comme présentant un “risque plus élevé”, tel que la Chine. De même, les directives et restrictions imposées aux employés se rendant en Russie sont souvent beaucoup plus rigoureuses que celles qui se rendent au Royaume-Uni.
Cette segmentation des menaces d’espionnage n’est pas propre aux entreprises privées. Pendant que je travaillais au Département d’État américain, j’ai remarqué que les officiers du service extérieur affectés à des postes de contrôle du renseignement “critiques”, tels que Moscou ou Beijing, avaient des exposés sur le contre-espionnage bien différents de ceux qui étaient affectés à des postes de contrôle du renseignement “bas”, comme Ottawa ou Santiago.
Pour les acteurs hostiles cherchant à voler des informations critiques sur l’entreprise, peu importe où la clé des données classifiées a été obtenue. Ce qui compte, c’est que le travail soit fait.
Bien entendu, cette focalisation biaisée n’est pas perdue pour les agences de renseignement hostiles. Pendant la guerre froide, bon nombre de responsables des affaires de la CIA et de résidents du KGB («rezident») eurent beaucoup de succès dans le recrutement d’agents dans des pays tiers où la menace du renseignement était jugée moins forte et où la surveillance des employés était, quant à elle, moins assouplie. Ce ciblage se poursuit encore aujourd’hui, car au final, peu importe où la clé cryptographique permettant de casser les communications classifiées a été obtenue. Ce qui compte, c’est si le travail est toujours fait.
Évaluer la menace mondiale
Cela nous ramène à l’évaluation de la menace d’espionnage des entreprises. Chez les centres d’études sur le renseignement, la majorité ils utilisent un test à trois volets qui examine l’intérêt, l’intention et la capacité d’un acteur public ou non. S’ils déterminent que les informations confidentielles d’une société intéressent un acteur hostile, ils examinent ensuite les capacités spécifiques de cet acteur et son intention de voler cette information afin de mesurer la menace qui pèse sur ses informations.
Certains acteurs sont limités dans leurs capacités, à la fois en termes de portée géographique, de tactiques et de techniques qu’ils peuvent employer. Mais comme on sait que des pays dotés de capacités avancées vendent des informations, ou des informations commerciales et des outils pour d’autres biens et services, un niveau élevé d’intérêt et d’intention peut se traduire par une menace accrue, même lorsque la capacité de l’acteur principal est insuffisante. Les criminels ou les mercenaires peuvent également servir à augmenter les capacités d’un acteur.
Études de cas
Un certain nombre de cas mettent en évidence le caractère de plus en plus international de la menace d’espionnage des entreprises, ainsi que la diversité des outils pouvant être utilisés. La technique la plus «globale» est peut-être le piratage, qui permet à un acteur d’attaquer une entreprise de l’autre côté du monde par une injection de code SQL, un email de phishing ou un autre cyber-outil. Pour l’auteur, les attaques de piratage informatique sont relativement peu risquées et permettent également un certain degré de crédibilité plausible, qui peut être renforcé par l’utilisation de cyber-mercenaires ou d’autres intermédiaires pour isoler davantage l’acteur.
Cependant, dans de nombreux cas, les acteurs ne peuvent pas facilement obtenir ce qu’ils recherchent uniquement par le piratage. Cela peut être dû au fait que les cyberdéfenses de la victime sont robustes ou que les informations ne sont pas sous forme électronique. Cela oblige les acteurs à recourir à d’autres outils pour obtenir les données souhaitées, par exemple en recrutant une source humaine qui travaille pour la société ciblée ou en plaçant un agent dans la société pour servir de taupe — ce qui peut aussi constituer une menace mondiale.
La société américaine Superconductor Corporation (AMSC), basée aux États-Unis, a appris ce risque à la dure lorsqu’un ingénieur serbe travaillant dans une filiale à 100% en Autriche a fourni son code source à Sinovel, le plus gros client d’AMSC à l’époque. AMSC savait que son code source était hautement souhaité et a pris de grandes mesures pour le protéger, notamment en utilisant un cryptage robuste sur toutes ses cartes mères. Mais un acteur mondial sophistiqué a néanmoins été capable de détecter et de saisir une vulnérabilité du programme de sécurité de l’entreprise: recruter un employé mécontent dans un pays européen supposé être “sûr”, tandis qu’AMSC consacrait son temps et son attention à des menaces ailleurs.
Dans un cas similaire, un ingénieur travaillant pour GE Aviation en Ohio avait été recruté à distance par un officier du ministère chinois de la Sécurité de l’État (MSS) sur la base de son profil LinkedIn, indiquant qu’il avait accès à des informations recherchées. Les protocoles de sécurité d’entreprise n’autorisant pas l’employé à se rendre en Chine avec son ordinateur portable fourni par l’entreprise, le responsable du MSS a donc pris rendez-vous à Bruxelles — un endroit où l’ingénieur pourrait voyager avec son ordinateur portable et où l’agent pourrait ensuite copier le contenu de son disque dur.
Le “travail au sac noir”, ou pénétrer dans une entreprise ciblée pour obtenir les informations souhaitées, est une autre approche de renseignement que nous avons vue utiliser pour des acteurs hostiles lorsque d’autres moyens échouent. C’était le cas lors d’un incident survenu en 2017, impliquant le fabricant américain de matériel médical Medrobotics, lorsque le PDG a découvert qu’un agent chinois s’était faufilé dans une salle de conférence située au siège de la société, dans le Massachusetts. La taupe a tenté d’infiltrer le réseau informatique de Medrobotics via le réseau local sans fil de l’entreprise, après être entrée aux États-Unis en franchissant la frontière canadienne.
Un groupe d’officiers de la principale direction du renseignement de Russie (connu sous son acronyme russe GRU) effectuait également ce type de travail au sac noir lorsqu’il tentait de pirater le réseau de données sans fil de l’Organisation pour l’interdiction des armes chimiques à La Haye en 2018. Les informations obtenues à partir de l’ordinateur portable retrouvées plus tard dans leur véhicule ont révélé que des membres de l’équipe du GRU avaient utilisé le même matériel lors d’une attaque similaire contre l’Agence mondiale antidopage à Genève, entre autres cibles.
Comment protéger votre entreprise
Ce ne sont là que quelques exemples qui illustrent la manière dont des acteurs sophistiqués peuvent utiliser diverses tactiques dans divers endroits pour mener des activités d’espionnage au sein d’une entreprise – en transformant en menace mondiale la sécurité de l’entreprise. Pour se protéger contre de tels risques de sécurité omniprésents, les entreprises peuvent prendre plusieurs mesures essentielles:
1. Prioriser les informations critiques.
La première étape consiste à identifier quelles informations sont réellement essentielles pour votre entreprise et doivent être protégées de manière approfondie – ce que j’appelle votre “sauce spéciale”. Il est très difficile (sans parler d’énigmatique) d’essayer de protéger soigneusement toutes les données de l’entreprise. Mais lorsque seules les informations les plus cruciales sont priorisées – qu’il s’agisse d’une technique de fabrication ou de la conception d’un produit – la protection devient une tâche beaucoup plus facile.
2. Toujours vérifier les employés.
La prochaine étape consiste à examiner minutieusement tous les employés qui ont ou pourraient avoir accès à ces informations réellement critiques. Même si la vérification peut être au mieux difficile (et peut même être litigieuse dans certaines cultures d’entreprise), elle doit néanmoins être mise en œuvre dans toute la mesure du possible de la société pour aider à se protéger contre les taupes et les employés susceptibles d’être exposés au recrutement. De nombreuses entreprises, y compris certaines des affaires susmentionnées, ont été brûlées par des initiés qui auraient pu être identifiées bien plus tôt si elles avaient été dûment examinées. Le filtrage doit également être effectué périodiquement, pas uniquement lors de l’embauche, car les personnes et leur situation changent, ce qui les rend plus susceptibles d’être recrutées par des acteurs hostiles.
3. Limitez l’accès aux données clés.
Une fois que les employés ayant un besoin légitime d’accéder à des données critiques ont été identifiés et vérifiés, il est également important de limiter soigneusement le mode et le lieu où ils peuvent accéder à ces données. Deux affaires d’espionnage récentes mettant en cause le programme de véhicules autonomes d’Apple illustrent la manière dont les entreprises d’espionnage vont s’adapter aux mesures de sécurité.
En 2018, un ingénieur a téléchargé 20 Go de spécifications techniques et d’autres données propriétaires d’une base de données Apple restreinte sur une clé USB et a tenté de la transmettre à un concurrent chinois, demandant à Apple de limiter l’accès aux ports externes des ordinateurs de l’entreprise. Quelques mois plus tard, un autre employé lié au même concurrent a été surpris en train de prendre des photos de documents sensibles sur son écran d’ordinateur avec son téléphone pour échapper à la nouvelle restriction. Ainsi, à mesure que les stratégies d’espionnage évoluent, la politique de sécurité doit également évoluer – et les mesures de sécurité doivent également tenter d’anticiper de tels changements.
4. Restez au courant de la menace mondiale.
Enfin, il est crucial de reconnaître et de rappeler que la menace d’espionnage des entreprises est véritablement mondiale lorsque des acteurs sophistiqués sont impliqués. Cela signifie que des mesures visant à protéger les informations confidentielles critiques de votre entreprise doivent être prises où qu’elles se trouvent. Cela signifie également que les programmes de formation en matière de sécurité d’entreprise ne peuvent pas uniquement viser les employés qui travaillent ou se rendent dans des endroits considérés comme “à haut risque”. En d’autres termes, les données stockées sur un ordinateur portable d’entreprise au Canada devraient être traitées de la même manière que les données stockées sur un ordinateur en Chine. Il est également important de ne pas développer de vision tunnel qui se concentre sur un ou deux acteurs de la menace. Si la Chine et la Russie sont peut-être les acteurs les plus actifs de l’espionnage industriel, le risque ne leur est nullement limité.
Bien sûr, une telle approche globale est difficile à mettre en œuvre sans un buy-in de niveau C-suite. Par conséquent, les directeurs de la sécurité doivent sensibiliser les dirigeants de l’entreprise aux menaces que représente l’espionnage pour leur entreprise. De cette manière, ils peuvent mettre en œuvre un programme mondial pour s’assurer qu’il n’y a pas de solution facile qu’un acteur hostile puisse facilement cueillir.
